浅析信息系统安全漏洞数据库的设计和意义.pdfVIP

浅析信息系统安全漏洞数据库设计和意义 Name:天翼||E-Mail:linuxgod@163.com||扣扣 前言 2009 年11 月27 日国家计算机网络入侵防范中心、国家计算机病毒应急处理 中心和计算机网络与信息安全教育部重点实验室签署联盟协议书，共同建设“国 家安全漏洞库”和“国家安全漏洞论坛”。基于此我觉得有必要在这里和大家探 讨一下信息系统安全漏洞数据库的设计和建设安全漏洞库的意义。 一、为什么建立安全漏洞数据库 1.1 什么是安全漏洞 系统安全漏洞，也叫系统脆弱性（vulnerability），是计算机系统在硬件、 软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。安全漏洞 处于网络安全的核心，是网络攻防的焦点。安全漏洞一旦被发现，就可使用这个 漏洞获得计算机系统的额外权限，使黑客能够在未授权的情况下访问或破坏系 统，从而危害网络与信息系统安全。系统安全漏洞是针对计算机安全而言的，广 义的系统安全漏洞是一切导致威胁、破坏计算机系统安全的因素。 为了使计算机用户更详细的了解系统安全漏洞，更好的利用系统安全漏洞来 预防、抵制、解决安全事件的发生，所以对各种系统安全漏洞分类并构建标准统 一的漏洞数据库是很有必要的。 1.2 国际cve 标准 在网络安全发展的早期，为了应对不同厂商对漏洞的披漏没有一个广泛的边 界用来提供参考，漏洞的定义多而杂，安全厂商之间对漏洞的边界划分比较模糊 并趋于混乱的情况。MITRE 公司于1999 年建立了 “通用漏洞列表（Common Vulnerabilities and Exposures,CVE）”。CVE 就好像是一个字典表，为广泛认 同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同 的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数 据，这样就提供了评估工具的一个标准，可以准确的知道每个工具的安全覆盖程 度，从而可以判断工具的有效性和适应性。CVE 兼容的工具和数据库将提供更好 的覆盖，更容易互动和强化安全。 CVE 的优点是将众所周知的安全漏洞的名称标准化，使不同的漏洞库和安全 工具更容易共享数据，使得在其他数据库中搜索信息更容易。基于CVE 已经趋于 漏洞库的标准，所以现在不管是公司还是厂商在建立基于自己产品漏洞库的时候 都有意识的去兼容CVE 标准。 二、系统安全漏洞的分级与分类标准 系统安全漏洞分类与分级是对漏洞不同抽象层次的体征属性进行描述。某些 系统的分类是在系统安全漏洞的分类基础上进行的，如攻击系统要依据系统安全 漏洞分类基础进行分类，还有一些安全事件的处理方法也要依据系统安全漏洞来 制定。所以，一套完善的系统安全漏洞分级分类标准是基础。 2.1 系统安全漏洞严重性分级 系统安全漏洞根据其对系统造成的潜在威胁（破坏性、危害性、严重性）以 及被利用的可能性为依据对各种系统安全漏洞进行分级。一般被分为紧急 （严 重）、重要 （高）、警告 （中）、注意 （低）四级。 2.2 系统安全漏洞的分类 系统安全漏洞类型是描述系统漏洞的特征属性。系统安全漏洞主要概括为以 下4 方面特征属性 漏洞被攻击者利用的方式，可以分为本地攻击（local）和远程攻击（Remote）。 漏洞形成的主要原因。 漏洞对系统安全造成的危害。 漏洞对系统安全造成的直接威胁，可以分为权限提升，拒绝服务，信息泄露， 代码执行,Web 接口，其它类型。 良好的检索服务是一个漏洞数据库被使用者认可的关键。 三、漏洞库的设计模式 3.1 B/S 模式 基于B/S 模式的漏洞库访问方式是必然的，B/S 模式不需要关心程序的数据 和物理位置，只要知道URL 就可以实现漏洞库的访问。 同时B/S 模式的工作原理是，客户层的浏览器通过URL 访问应用服务器请求 数据库服务器，并将获得结果以HTML 形式返回给客户浏览，B/S 三层模式具有 以下优点。 （1） 界面统一，易于使用 用户只要使用单一的Browser，就可以访问网络上提供的所有信息。 （2） 维护简单，扩展方便 客户端只有浏览器，不需要其他的软件，当需求发生变化时，只需要修改服 务端，降低了系统管理和维护成本。 （3） 安全性好 使用防火墙就可以保证子系统不受外部入侵，也阻拦子系统对外部的非法操 作。 3.2 安全漏洞数据库的架构 安全